размыщление о криптографии взял я как то криптор RCryptor 1.6с и задался целью унать как же всетаки детектяк антивири так как этот криптор в паблике то можно смело тестить на джоти (хотя это тоже зло) итак открываем криптованый пинчь от слеша в ольги при этом отключаем анализ (чтоб не мутил воду)и смотрим 3 цикла декриптора т.е к каждой секции криптор пременил свой алгоритм криптовки хор итак начинаем их уберать забивая нопами и видм и отпровляем на проверку (моя цель не прятать от каспера так как у него эвристик почти не работает и он детектит только по стабу по этому он нас не интересует стоит немного изменить стаб и все про каспера забыли) прокручу вперед нудную проверку и вот результат все палят только по первому циклу дальше наверное их не интересует смотрим цикл декрипта 13178015 B8 00101413 MOV EAX, pinch.13141000 1317801A 3D 007E1413 CMP EAX, pinch.13147E00 1317801F 74 06 JE SHORT pinch.13178027 13178021 8030 D7 XOR BYTE PTR DS:[EAX], 0D7 13178024 40 INC EAX 13178025 ^ EB F3 JMP SHORT pinch.1317801A думаю разберать его нет смысла и так все ясно хотя для навечков напишу чтоб было понятно MOV EAX, pinch.13141000 вставляет значение 13141000 в операнд EAX (13141000 это значение соотвецтвует началу кода криптованой программы т.е пинча) CMP EAX, pinch.13147E00 сравнивает значение операнда EAX с 13147E00 (естественно оно отличаеться потому как мы только что воткнули туда 13141000 ) JE SHORT pinch.13178027 так как после сравнения выше результат был не равны по этому ничего не делаем если же подходит то прыгаем и цикла дальше (13147E00 это значение конца кода тоесть секции кода) XOR BYTE PTR DS:[EAX], 88собственно дешифровка (берет значение еах из дампа а там находиться криптованый кусок програмы раскриптовывает и ставит на место) INC EAX прибовляет 1 к EAX (если там было 13141000 то будет 13141001 что соотвецтвует второму символу кода криптованой программы) JMP SHORT pinch.1317801A это прыжок на (CMP EAX, pinch.13147E00) и цикл повторяеться за исключением того что в еах значение 13141001 и происходит декодировка второго символа ИТД как ты понял после так этого цикла все байты криптованой программы кода реаскриптовываються и значение еах становиться 13147E00 тогда при сравнении нас выкидывает из цыкла надеюсь сечас стало все понятно так как я убил на эту писанину 2 мин если нет то СРОЧНО прекрати читать дальше и посмотри мультики по ТНТ будет полезнее ой о чем это я ах да криптовка теперь о решении задачи есть 2 варианта а то и больше если быть точнее то нод детектит именно вот это XOR BYTE PTR DS:[EAX], 0D7 ну а если еще точнее то его эвристик заходить по этому алгоритму 0D7 ракриптовывая этот кусок программы и арет вывод нужно запутать эвристик так чтобы нод замучился искать хе хе и не только он к примеру можно закриптовать этот кусок предварительно вставив туда декриптор если хватит места ибо его там не очень много я имею в виду свободного можно попробовать закинуть цифру алгоритма в стек и ли еще куда ну это вам решать удачной криптовки п.с если что не так извеняйте голова болит жудко (похмелье) Парни с праздником вас !
сегодня криптонул криптером 3 месячной давности вот результаы AhnLab-V3 2008.2.22.0 2008.02.22 - AntiVir 7.6.0.67 2008.02.22 - Authentium 4.93.8 2008.02.24 - Avast 4.7.1098.0 2008.02.23 - AVG 7.5.0.516 2008.02.24 - BitDefender 7.2 2008.02.24 - CAT-QuickHeal 9.50 2008.02.22 (Suspicious) - DNAScan ClamAV 0.92.1 2008.02.24 - DrWeb 4.44.0.09170 2008.02.24 - eSafe 7.0.15.0 2008.02.21 suspicious Trojan/Worm eTrust-Vet 31.3.5557 2008.02.23 - Ewido 4.0 2008.02.24 - FileAdvisor 1 2008.02.24 - Fortinet 3.14.0.0 2008.02.24 - F-Prot 4.4.2.54 2008.02.23 - F-Secure 6.70.13260.0 2008.02.23 Suspicious:W32/Malware!Gemini Ikarus T3.1.1.20 2008.02.24 - Kaspersky 7.0.0.125 2008.02.24 - McAfee 5236 2008.02.22 - Microsoft 1.3204 2008.02.24 - NOD32v2 2898 2008.02.23 unpack error Norman 5.80.02 2008.02.22 Suspicious_F.gen Panda 9.0.0.4 2008.02.24 - Prevx1 V2 2008.02.24 - Rising 20.32.62.00 2008.02.24 - Sophos 4.26.0 2008.02.24 Sus/UnkPacker Sunbelt 3.0.893.0 2008.02.23 - Symantec 10 2008.02.24 - TheHacker 6.2.9.228 2008.02.23 - VBA32 3.12.6.1 2008.02.21 - VirusBuster 4.3.26:9 2008.02.24 Packed/FSG Webwasher-Gateway 6.6.2 2008.02.24 Win32.Malware.gen#FSG (suspicious)
Если кому надо, криптану нахаляву пинча от слеша 2.99. Другие не криптану! Результат крипта так себе... Но каспер и нод не палят. Кому надо, пишите в личку и давайте сразу линк на скачку файла в архиве под пассом. Как криптану, напишу с линком для скачки
тут важно не то, сколько запалили, а сколько нет, а важно что запалило... Для меня если после крипта каспер, нод, аваст не палят, то это гуд.
Вот такой результат: Кому надо, также криптану пинча от слеша. Пишите в личку и оставляйте сразу линк для скачки пинча в архиве
Killerkod а идея хороша вот только сколько твой сервис по криптовке продержиться если все начнут его тестить кто нить да и кинет на вирус тал а по делу воть после твоего крипта если сжать фаил spack ом эфект будет круче палить будет только 4 антивиря
скоро антивири начнут палить метод криптовки и чистка не поможет (конечно можно взять другой криптор и приготовиться к чистке)
не думаю. большинство крипторов используют все те-же aPLib и lzma, которым уже немало лет. но ведь не паляться-же )
вот у глоффа в крипторе такая защита была а спалили всетаки хотя эвристик стаб так и не прошел просто палят не сам стаб нужно менять алгоритм шифровки к стати о крипторе глоффа взял ся я его разабрать как же он всетаки раскриптовывает программу итак как обычно открываем в олге смотрип калл переход на стаб жмемь ф7 и мы в нем далие идет цикл модификации сигментных регистров обычная ловушка для аверов на ней мы заострять внимание не будем идем дальше если вы посмотрите в дамп ECX+C то увидите там начало программы от куда мы ушли на стаб теперь хе мы вставляем туда вот эти значения разбирать это не будем кому интиресно вернеться туда и посмотрит (там появились новые команды) больше с этим возиться не будем идем дальше на первый взглят можно подумать а зачем кидает в стек куча цифр а это всего навсего набор инструкций которые нужно раскриптовать но как же это сделать??? а вот как!! 13178157 68 9C000000 PUSH 9C (помещает значение цикла в стек) 1317815C 59 POP ECX (достает и ставит куда нужно) 1317815D 83740C 03 07 XOR DWORD PTR SS:[ESP+ECX+3], 7 собственно раскриптовка 13178162 ^ E2 F9 LOOPD SHORT pinch.1317815D цикл а будет повторяться 9C раз после мы падаем на ретн и самое верхнее письмо скажет нам куда прыгнуть а именно 0012FF24 а это и есть в стек и начинаем выполнять те комады которые мы туда закинули (гениально придумано) если тут я не прав поправте меня ибо не уверен на 100% кому интересно вот эти команды мы закидываем в стек а вот что стало с нимипосле раскриптовки и вот появляеться новый цикл раскриптовки каждый из этих циклов можно разбирать я этого делать не буду дабы этот материал не для новечков пока можно поразмышлять над этим п.с особая благодарность salamandra
пинч обыкновенный. Слэша Code: File: pinch.exe SHA-1 Digest: fcea9e7ae4a2c0d74a90e4df285ddc26426ab0a3 Size: 41984 bytes Detected Packer: None Status: Infected or Malware (Confidence 77.27%) Date Scanned: Wed Feb 27 21:29:57 +0000 2008 пинч + RLPack + FreeCryptor Code: File: pinch_crypted.exe SHA-1 Digest: 8821af5ecd741a1d28f6f6d1742af31fe43a61b1 Size: 17580 bytes Detected Packer: None Status: Infected or Malware (Confidence 13.64%) Date Scanned: Wed Feb 27 21:33:36 +0000 2008 (палиться Avira AntiVir, CPSecure, Sophos Sweep) RLPack берем тут http://www.reversinglabs.com/download.html FreeCryptor http://www.soft.glofff.com/ результаты крипта НЕ тестим на вирустотале и прочих
а пинч от васьки на smtp данным способом не криптуется чтоб непалился? прост ща нет времени проверять
в смысле? билдер у них сжат UPX'ом сам пинч жметься нормально с дефолтными настройками крипторов хотя можеш на всякий случай PEID'ом глянуть...
ArcaVir Found nothing Avast Found nothing AVG Antivirus Found PSW.Ldpinch.11.AS BitDefender Found nothing ClamAV Found nothing CPsecure Found nothing Dr.Web Found nothing F-Prot Antivirus Found nothing F-Secure Anti-Virus Found nothing Fortinet Found nothing Ikarus Found nothing Kaspersky Anti-Virus Found nothing NOD32 Found nothing Norman Virus Control Found LdPinch.gen1 Panda Antivirus Found nothing Rising Antivirus Found nothing Sophos Antivirus Found Mal/Basine-C VirusBuster Found nothing VBA32 Found nothing такой результат у моего троя, но клеить начинаю с фоткой - палится начинает по-черному народ кто чем клеит? зы ясное дело что приват джойнеры есть - не мой вариант
